S'orienter face à la régionalisation des données et la conformité

Comment les réglementations en matière de protection des données façonnent l'Internet

Le Règlement général sur la protection des données (RGPD) a transformé le monde de la confidentialité, en grande partie pour le meilleur. Toutefois, si cette politique européenne historique a établi une nouvelle norme au regard de la protection en ligne des informations des consommateurs, elle a également provoqué un déferlement de mesures réglementaires fondées sur l'idée douteuse que la régionalisation des données permet d'en renforcer le caractère privé et la sécurité.

Avant le RGPD, certaines juridictions disposaient déjà de législations en matière de protection des données contenant des dispositions relatives à la régionalisation, souvent à des fins de sécurité nationale. Toutefois, depuis l'entrée en vigueur du RGPD en 2018, au moins 30 pays ont adopté de nouvelles législations sur la protection des données ou modifié leurs législations existantes, selon les données communiquées par la Commission des Nations unies sur le commerce et le développement (CNUCED). Un grand nombre de ces législations impose des restrictions concernant les transferts de données personnelles vers d'autres pays.

Je me passionne pour la confidentialité des données, et celle-ci n'a jamais suscité autant d'attention. J'y réfléchis en permanence, et je suis ravi que tant d'autres personnes (notamment les autorités de réglementation et les entreprises) y réfléchissent également. Cependant, la régionalisation des données ne renforce pas leur caractère privé. En réalité, la nécessité croissante pour les entreprises de se conformer à des réglementations parfois incohérentes et incompatibles en matière de régionalisation des données peut rendre plus difficile la protection de la confidentialité des données qu'elles traitent. Et tout défaut de conformité à la réglementation peut s'avérer coûteux, comme l'a appris l'entreprise Meta lorsque les autorités de réglementation irlandaises lui ont infligé une amende de 1,2 milliard d'euros suite au transfert vers les États-Unis de données créées régionalement.

Le problème de la régionalisation des données

Le RGPD est généralement considéré comme la référence absolue en matière de protection de la confidentialité. Il consacre les droits des personnes concernées et impose des pratiques de traitement des données qui ont été copiées par les législateurs d'autres pays. Par ailleurs, en raison du caractère exhaustif des exigences du RGPD, de nombreuses entreprises ont adopté l'approche consistant à appliquer les normes de cette réglementation à l'ensemble des données personnelles qu'elles traitent. Ainsi, les données personnelles de milliards de personnes à travers le monde bénéficient du niveau de protection exigé par le RGPD, qu'elles résident en Europe ou non.

L'une des conséquences (peut-être involontaire) du RGPD a toutefois été l'émergence de la localisation géographique en tant que substitut à la confidentialité. Avant le RGPD, les scénarios d'utilisation de la régionalisation des données étaient limités. Les gouvernements ont inscrit dans les contrats des exigences relatives à la régionalisation afin de protéger certaines données contre l'ingérence d'acteurs situés à l'étranger, ou des États autoritaires les ont imposées afin de permettre à leurs administrations d'accéder à des données privées. Toutefois, le RGPD a intensifié l'importance accordée à la réglementation des transferts de données transfrontaliers. La décision Schrems II de la Cour de justice de l'Union européenne, qui a invalidé le bouclier de protection des données UE-États-Unis en 2020, a incité un certain nombre d'autorités de réglementation à considérer qu'aucun transfert de données de l'UE vers les États-Unis ne pourrait être autorisé, en vertu de la norme établie par ce tribunal. Et puisque certains des plus grands fournisseurs de cloud sont basés aux États-Unis, cette décision a eu d'importantes répercussions pour des entreprises dans le monde entier.

L'idée sur laquelle est fondée la régionalisation des données (à savoir que les données doivent être stockées et traitées à l'endroit même où elles sont générées) est d'une simplicité attrayante. Si les données des citoyens d'un pays sont conservées sur des serveurs situés à l'intérieur des frontières du pays (selon la théorie), le pays peut alors assurer la sécurité de ces données et veiller à ce qu'elles soient traitées conformément aux législations locales. Dans la pratique, toutefois, cette approche entraîne une fragmentation de l'Internet, compliquant considérablement la mise en œuvre de la confidentialité et de la sécurité réelles des données. En créant des silos géographiques artificiels, la régionalisation des données diminue en réalité notre capacité à identifier les vulnérabilités et à agir de manière proactive pour y remédier. Par exemple, lorsque des données concernant les tendances des bots en Inde ne peuvent pas être partagées avec les experts de la cybersécurité dans l'Indiana, aux États-Unis, Internet devient plus dangereux pour tous ses utilisateurs. Et la conservation des données au niveau régional peut également avoir des répercussions dangereuses sur la sécurité nationale d'un pays, comme l'Ukraine l'a découvert lorsqu'elle a été envahie par la Russie en 2022.

Ce sont là les répercussions globales. Pour les entreprises individuelles qui essaient de préserver leurs activités face à la prolifération des exigences en matière de régionalisation, l'existence d'un nombre aussi important de réglementations nationales, régionales et locales est un gros problème. La construction d'une infrastructure informatique hétéroclite, permettant de satisfaire à toutes ces exigences sans sacrifier les performances, est une perspective intimidante.

Réunir la conformité et les performances

Bien que la perspective paraisse intimidante, rien n'est impossible si vous posez les bonnes questions lorsque vous évaluez des solutions de sécurité et de protection des données. Vous pouvez satisfaire aux obligations réglementaires, ainsi qu'aux demandes des clients et des utilisateurs, en optant pour des produits et des fournisseurs qui priorisent la conformité proactive, la résilience et la visibilité.

Lorsque vous évaluez un outil de sécurité avec l'objectif de déterminer s'il peut vous aider à satisfaire aux exigences en matière de régionalisation des données et à générer les résultats attendus par vos utilisateurs, posez-vous ces trois questions essentielles :

1. L'outil possède-t-il une présence et une approche véritablement mondiales ?
   Un outil ne vous permettra pas de contrôler l'emplacement des données s'il n'intègre pas des logiciels et des équipements sous-jacents déjà opérationnels et conformes aux réglementations de nombreux pays et régions. Par ailleurs, privilégiez un fournisseur qui a soigneusement réfléchi aux nuances de la conformité en matière de protection des données dans chaque juridiction dans laquelle se trouvent des utilisateurs.

2. L'outil vous montre-t-il où (et comment) vos données sont traitées ?
   Vous ne pouvez pas avoir la certitude de vous conformer aux réglementations en matière de traitement des données locales si vous ne disposez pas d'une visibilité immédiate de l'endroit où se trouvent vos données et d'explications claires concernant leur traitement, en transit comme au repos.

3. Le fournisseur s'engage-t-il à respecter la confidentialité et la sécurité ?
   L'entreprise assurant la prise en charge du produit doit disposer d'une suite complète de certifications dédiées à la confidentialité, élaborées par des organismes de normalisation et des agences gouvernementales. Elle doit également avoir démontré sa capacité à préserver le chiffrement des données des utilisateurs, indépendamment des politiques locales, peu importe où résident ces données. Elle doit par ailleurs posséder l'expérience requise pour répondre aux demandes de données émanant du gouvernement lorsque ces demandes sont contraires aux législations en matière de protection des données de la juridiction d'origine de la personne concernée.
   

Chez Cloudflare, nous pensons que la manière dont sont protégées les données est plus importante que l'endroit où elles sont protégées. Nous avons bâti un réseau cloud mondial qui place la confidentialité au premier plan en priorisant la sécurité, et nous disposons de certifications qui valident notre approche : les normes ISO 27701 et ISO 27018, ainsi que des validations en vertu du cadre de protection des données UE-États-Unis et du code de conduite cloud de l'UE.

Cependant, nous sommes conscients que certains de nos clients ont besoin d'outils de régionalisation, et nous avons donc mis la puissance de ce réseau mondial entre les mains de nos clients avec une suite d'outils régionalisés réunissant une visibilité centralisée de l'état de leurs données et le contrôle de l'endroit où elles sont utilisées et stockées.

Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions qui affectent les décideurs en matière de technologies aujourd'hui.

Auteur

Emily Hancock – @emilyhancock
Chief Privacy Officer, Cloudflare

Points clés

Cet article vous permettra de mieux comprendre les points suivants :

• Comment la localisation géographique est devenue un substitut à la confidentialité des données

• Les lacunes de la régionalisation des données

• Trois questions essentielles que vous devez vous poser lors de l'évaluation d'outils de sécurité

Ressources associées

• Comment j'ai appris à ne plus m'en faire et à aimer la conformité

• Vers un cadre mondial dédié aux flux de données transfrontaliers et à la protection de la confidentialité

• Série : La recherche d'une sécurité priorisant la confidentialité